È possibile che Oracle inserisca backdoor in VirtualBox che compromettano la privacy / l'anonimato di un utente? Ad esempio, sta eseguendo Whonix tramite VirtualBox una configurazione sicura se il tuo sistema operativo host non è criptato? Quanto è probabile che Oracle possa uscire dalla VM e "silenziosamente" ottenere l'accesso come root al SO sottostante? Quali precauzioni possono essere prese per minimizzare queste minacce? Esistono alternative praticabili?
Ho solo messo alcune opinioni da questo link :
Se volevano includere backdoor in VirtualBox, avrebbero chiuso la fonte molto tempo fa. Perché passare il tempo a implementare una backdoor in un software open source che, se mai rilevato, porterebbe praticamente tutti all'abbandono del software in massa? Lasciandolo aperto consente a migliaia di individui di esplorare diverse aree della fonte mentre cercano i bug e li compilano da soli. Ci sono troppi occhi su di esso per farmi comprare la nozione di backdoor probabile. Sì, è ancora possibile. Tutto è possibile se vuoi parlare in tecnicismi.
Puoi scaricare la fonte, esaminarla e compilarla da solo.
In generale, sì, una backdoor è possibile in qualsiasi tipo di software.
Sì, ma se il sistema operativo guest è installato in un contenitore TC hanno bisogno di una backdoor anche in TC prima che siano in grado di accedere al sistema operativo guest, e non penso che TC abbia backdoor, anche se in questi settimane alcuni utenti stanno studiando per questo.
e anche questa Guida e riferimento alla programmazione di Virtualbox
che dice: - non ci sono backdoor nascoste nel motore di virtualizzazione per i nostri frontend.
ma penso che nessuno possa dimostrare la sua opinione (le risposte sono basate sull'opinione e non su base esperta)
Se non ti puoi fidare del tuo software di virtualizzazione, sei nei guai. Il software di virtualizzazione può fare * tutto ciò che vuole) al codice virtualizzato (a causa della manipolazione diretta della memoria) ma questo è al livello di "Ehi, qualcuno può rubare i dati della mia carta di credito anche se lo criptolo dalla memoria quando la memoria è piena di sonde di misurazione? " (a.k.a si potrebbe, ma è altamente improbabile).
Come ha sottolineato @ali, Virtualbox è open source e tu (o chiunque altro) puoi ispezionare il codice e vedere se c'è una cosa del genere. Non ho visto una routine di chiamata a casa durante le mie scansioni di rete, quindi non penso che sia lì. E anche se fosse come ha fatto notare @Ali, se fossero mai scoperti sarebbe un enorme incubo pubblicitario e Oracle potrebbe rischiare la loro reputazione e il loro business nel mercato dei server (che da solo penso sia una motivazione sufficiente per non farlo mai nemmeno prova ad implementare qualcosa del genere)
Questo non è affatto una risposta solida (preferirei lasciare questo come commento piuttosto che una risposta, ma non ho la reputazione adeguata). A seconda delle impostazioni di rete del tuo VirtualBox, se qualcuno in qualche modo ha il controllo del tuo VirtualBox, potrebbe entrare nel tuo router o in altri dispositivi sulla tua rete a seconda delle impostazioni e della situazione. Per non parlare, se si condividono cartelle con VirtualBox, potrebbero inserire un file dannoso e fare un po 'di social engineering come la sostituzione di un file in quella cartella con un file che sembra simile (stesso nome file, icona e dati di file), ma è in realtà un malware. Tuttavia, il buon senso ci dice che se qualcuno dovesse ottenere l'accesso al nostro VirtualBox, c'è il rischio che si verifichino danni reali. Per quanto riguarda le backdoor, @Ali ha parlato in modo eccellente.
Leggi altre domande sui tag virtualization privacy trust backdoor